Cuando un ciber ataque se produce, es fácil señalar con el dedo a los usuarios que han podido causarlo, aunque sea de manera inadvertida, pero estas acusaciones son tóxicas y contraproducentes.
En cambio, es mejor profundizar en cuales son los comportamientos humanos que provocan ese incidente de ciber seguridad. De hecho, según los últimos estudios, los sistemas no necesariamente serían más seguros sin usuarios: las personas pueden ser un importante aliado, sobre todo con la formación adecuada.
Cómo tener en cuenta el comportamiento humano
Si uno lee investigaciones sobre fraude electrónico (phishing), uno comprueba que aproximadamente el 10% de los usuarios serán víctimas de ese tipo de ataques. Este es un buen ejemplo de caso en el que el comportamiento de la gente debe tenerse en cuenta. Si tu estrategia depende en confiar que los empleados no seguirán enlaces ni abrirán documentos adjuntos, a pesar de que esto último es crucial en ámbitos como el de la contratación, entonces uno se da cuenta de lo importante que es tener una estrategia de resiliencia.
La estrategia debe por tanto asegurare de que si un usuario se convierte en una debilidad para la seguridad, puedas prevenirlo, detectarlo o, al menos, mitigar la actividad maliciosa.
Diseño de sistemas de seguridad centrados en el usuario
Los usuarios, generalmente, no son expertos en ciber seguridad, así que pedirles que tomen decisiones que oscilan entre ‘todo está bien’ o ‘la compañía está en llamas’ simplemente por hacer click en una o dos opciones seguramente no acabe de funcionar del todo bien.
Es entonces cuando el diseño de seguridad centrado en el usuario se vuelve efectivo. Dicho de manera sencilla, es aquí cuando se deben considerar el flujo del proceso, la experiencia de usuario y las operaciones diarias.
Nuevos modelos de gestión de amenazas internas
Gestionar el riesgo de una amenaza interna depende, sobre todo, de lo robusta que sea la gestión de la identidad y del acceso (IAM en inglés), junto con el control de los comportamientos para identificar conductas sospechosas o, directamente, maliciosas.
Sin embargo, esta gestión no se debe centrar únicamente en la gente que emplea el sistema. Con cada vez más interacciones entre máquinas, y por tanto entre aplicaciones, es igualmente esencial considerarlas parte de la solución global.
Por eso ya no se habla solo de Análisis de comportamiento de usuario (UBA en inglés), sino de Análisis de comportamiento de usuario y ente (UEBA).